Schleiern und schlüsseln

Apropos wp-content: Alle Erweiterungen, Dateiablagen und Themes legt Wordpress gewöhnlich im Ordner wp-content ab. Oft schleusen aber Themes und Plugins eine Sicherheitslücke in das System. Seit Version 2.6 dürfen Sie diesem Ordner daher einen willkürlichen Namen geben und ihn an einer anderen Stelle ablegen. Eine Neuinstallation erledigt das einfach und schnell. Allerdings kann dieser Schritt zu Problemen mit Plugins oder Themes führen, da nicht alle Autoren den Pfad mit Hilfe der von Wordpress bereitgestellten Konstanten und Funktionen abfragen. Um den Ordner neu zu definieren, ändern Sie einfach ein paar Konstanten in der Datei wp-config.php, wie es Listing 1 zeigt.

Listing 1
define('WP_CONTENT_DIR', ABSPATH . 'test'); // wp-content Verzeichnis
define('WP_CONTENT_URL', 'http://example.com/test'); // wp-content URL
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins'); // Plugin-Verzeichnis

Seit Version 2.6 von Wordpress gibt es eine neue Möglichkeit, das Backend abzusichern: über den Zugriff via SSL. Die Abkürzung steht für Secure Sockets Layer, dabei handelt es sich um ein Verschlüsselungsprotokoll zur Übertragung von Daten. Unterstützt Ihr Webspace diese Möglichkeit, bedarf es nur einer kleinen Aktivierung in der wp-config.php, um SSL zu aktivieren. Setzen Sie die Konstante FORCE_SSL_LOGIN auf true, überträgt Wordpress von nun an alle Daten im Backend verschlüsselt.

Bestehende Installationen

Bisher haben Sie erfahren, wie Sie eine neue Installation schützen, indem Sie Angreifern den Zugriff auf die Standards erschweren. Aber auch bestehende Blogs sichern Sie mit einigen Handgriffen ab – ganz ohne den Einsatz von Sicherheitsplugins.

Der Benutzername der Standardinstallation lautet wenig einfallsreich admin – wie jedermann weiß. Nach einer Installation sollten Sie diesen Nutzer löschen und einen neuen Administrator anlegen. Das erledigen Sie einfach im Administrationsbereich, tunlichst bereits nach dem ersten Login. Damit ändern Sie nicht nur den Nutzernamen, sondern auch die zugehörige ID, die Wordpress automatisch vergibt – zwei Komponenten, die Angreifern andernfalls das Leben erleichtern.

Möchten Sie sehr große Werte für die ID verwenden, erweisen sich händische Änderungen im Backend als sehr aufwändig. Wordpress zählt bei jedem neuen Nutzer schlicht um Eins hoch. Besser ändern Sie diesen Wert mit einem SQL-Statement wie in Listing 2. Alternativ setzen Sie das Plugin Suchen & Ersetzen[3] ein.

Listing 2
UPDATE `wp_usermeta` SET `user_id` = '815' WHERE `wp_usermeta`.`user_id` = 1;
UPDATE `wp_posts` SET `post_author` = '815' WHERE `wp_posts`.`post_author` = 1;
UPDATE `wp_links` SET `link_owner` = '815' WHERE `wp_links`.`link_owner` = 1;

Seine Versionsnummer gibt Wordpress an vielen Stellen aus – im Backend, in den Feeds und im Theme. Jede Version hat spezifische Eigenarten und Fehler, daher sollten Sie Fremden keine Informationen über Ihre Wordpress-Installation geben. Die einfachste Form, die Version aus allen Bereichen zu entfernen, stellt die Nutzung des Plugins Secure WordPress[2] dar. Lediglich das Backend muss die Versionsnummer kennen, weil neben Wordpress selbst auch einige Plugins diese Information benötigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...